LDAP

LDAP ermöglicht es der Synology NAS, einem bestehenden Verzeichnisdienst als ein LDAP-Client beizutreten und anschließend Benutzer- oder Gruppeninformationen von einem LDAP-Server (oder Directory Server) abzurufen. Sie können die Berechtigungen von LDAP-Benutzern oder -Gruppen für den Zugriff auf DSM-Anwendungen und freigegebene Ordner verwalten, so wie dies auch bei lokalen DSM-Benutzern oder -Gruppen möglich ist. Weitere Informationen zu LDAP finden Sie hier.

Beim unterstützten LDAP-Standard handelt es sich um LDAP Version 3 (RFC 2251).

Synology NAS in einen Verzeichnisdienst einbinden:

  1. Gehen Sie zu Systemsteuerung > Domain/LDAP.
  2. Gehen Sie zu Registerkarte LDAP und aktivieren Sie LDAP-Client aktivieren.
  3. Geben Sie die IP-Adresse oder den Domainnamen des LDAP-Servers in das Feld LDAP-Server-Adresse ein.
  4. Wählen Sie im Dropdown-Menü Verschlüsselung einen Verschlüsselungstyp aus, um die LDAP-Verbindung zum LDAP-Server zu verschlüsseln.
  5. Geben Sie die Base DN des LDAP-Servers in das Feld Base DN ein.
  6. Wählen Sie je nach LDAP-Server das passende Profil aus. Wählen Sie zum Beispiel Standard, wenn Sie Synology LDAP Server oder Mac Open Directory verwenden.
  7. Wenn Sie Benutzern eines LDAP-Servers, der kein Samba-Schema unterstützt, den Zugriff auf Dateien der Synology NAS über CIFS erlauben möchten, setzen Sie ein Häkchen bei CIFS-Klartext-Kennwort-Authentifizierung aktivieren. Lesen Sie den folgenden Abschnitt, um sicherzustellen, dass LDAP-Benutzer mit ihren Computern erfolgreich über CIFS auf Dateien der Synology NAS zugreifen können.
  8. Klicken Sie auf Übernehmen.
  9. Geben Sie Bind DN (oder LDAP-Administratorkonto) und Kennwort in die Felder ein und klicken Sie auf OK.

CIFS-Unterstützung und Einstellungen des Client-Computers

Nachdem die CIFS-Klartext-Kennwort-Authentifizierung aktiviert wurde, müssen LDAP-Benutzer möglicherweise die Einstellungen ihrer Computer ändern, um über CIFS auf Dateien der Synology NAS zugreifen zu können:

  • Wenn die Synology NAS mit dem durch einen Synology LDAP-Server (oder eine andere Synology NAS, auf der das Paket LDAP Server installiert ist) bereitgestellten Verzeichnisdienst verbunden ist oder der das Samba-Schema unterstützende LDAP-Server und alle LDAP-Benutzer die korrekten „sambaNTPassword“-Attribute haben, können LDAP-Benutzer über CIFS auf die Dateien Ihrer Synology NAS zugreifen, ohne CIFS-Klartext-Kennwort-Authentifizierung aktivieren zu aktivieren oder die Einstellungen ihrer Computer zu ändern. Andernfalls müssen LDAP-Benutzer die PAM-Unterstützung für ihre Computer aktivieren, um über CIFS auf Dateien der Synology NAS zugreifen zu können. Dabei wird allerdings das Kennwort der LDAP-Benutzer in reiner Textform (ohne Verschlüsselung) zur Synology NAS übertragen, sodass die Sicherheitsstufe sinkt.

Windows-Einstellungen ändern:

  1. Gehen Sie zu Start > Ausführen, geben Sie regedit in das Feld ein und klicken Sie auf OK, um den Registrierungs-Editor zu öffnen.
  2. Suchen oder erstellen Sie, je nach Windows-Version, folgende Registrierungseinträge:
    • Windows 2000, XP, Vista und Windows 7:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
    • Windows NT:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
    • Windows 95 (SP1), 98 und Me:
      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
  3. Erstellen oder ändern Sie den DWORD-Wert EnablePlainTextPassword und ändern Sie dessen Wert von 0 auf 1.
  4. Starten Sie Windows neu, um die Änderungen zu übernehmen.

Einstellungen von Mac OS X ändern:

  1. Gehen Sie zu Anwendungen > Dienstprogramme, um Terminal zu öffnen.
  2. Erstellen Sie eine leere Datei /etc/nsmb.conf:
    sudo touch /etc/nsmb.conf
  3. Öffnen Sie /etc/nsmb.conf mit vi:
    sudo vi /etc/nsmb.conf
  4. Geben Sie „i“ ein, um Text einzufügen, und fügen Sie Folgendes ein:
    [default]
    minauth=none
  5. Drücken Sie die Esc-Taste und geben Sie anschließend „ZZ“ ein, um die Änderungen zu speichern und vi zu verlassen.

Einstellungen unter Linux ändern:

Wenn Sie smbclient verwenden, fügen Sie die folgenden Schlüssel in den Bereich [global] von smb.conf ein:

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

Wenn Sie mount.cifs verwenden, führen Sie den folgenden Befehl aus:

echo 0x30030 > /proc/fs/cifs/SecurityFlags

Weitere Informationen finden Sie unter https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README

Details zu Profilen

Verschiedene LDAP-Server können unterschiedliche Attribute für Konto- und Gruppennamen verwenden oder zwischen Konten und Gruppen unterscheiden. Mit der Option Profil können Sie festlegen oder anpassen, wie Benutzer- und Gruppeninformationen den LDAP-Attributen zugeordnet werden. Je nach LDAP-Server kann eines der folgenden Profile ausgewählt werden:

  • Standard: Für Server mit Synology LDAP Server oder Mac Open Directory.
  • IBM Lotus Domino: Für Server mit IBM Lotus Domino 8.5.
  • Benutzerdefiniert: Erlaubt die Anpassung von Zuordnungen. Nähere Einzelheiten finden Sie im folgenden Abschnitt.

Bevor Sie die LDAP-Attributzuordnungen anpassen, benötigen Sie etwas Hintergrundwissen. Synology DSM und der Profil-Editor entsprechen RFC 2307. Zum Beispiel können Sie filter > passwd als userFilter festlegen, dann interpretiert die Synology NAS Datensätze mit objectClass=userFilter auf Ihrem LDAP-Server als LDAP-Konten. Wenn Sie passwd > uid als Benutzername festlegen, interpretiert die Synology NAS den Benutzernamen auf Ihrem LDAP-Server als Kontonamen. Bleibt die Zuordnung leer, gelten die RFC 2307-Regeln.

Die Synology NAS benötigt eine feste Ganzzahl als LDAP-Konto-ID (uidNumber) oder Gruppen-ID (gidNumber). Allerdings verwenden nicht alle LDAP-Server Zahlen, um solche Attribute darzustellen. Daher wird ein Schlüsselwort HASH() bereitgestellt, um solche Attribute in Ganzzahlen umzuwandeln. Ihr LDAP-Server könnte beispielsweise das Attribut userid mit einem Hexadezimalwert als eindeutige ID für ein LDAP-Konto verwenden. In diesem Fall können Sie passwd > uidNumber auf HASH(userid) einstellen, dann wandelt die Synology NAS das Attribut in eine Ganzzahl um.

Es folgt eine Zusammenfassung der anpassbaren Attribute:

  • filter
    • group: Erforderliche objectClass für Gruppe.
    • passwd: Erforderliche objectClass für Benutzer.
    • shadow: Erforderliche objectClass für Benutzer-Passwörter.
  • group
    • cn: Gruppenname.
    • gidNumber: GID-Nummer dieser Gruppe.
    • memberUid: Mitglieder dieser Gruppe.
  • passwd
    • uidNumber: UID-Nummer des Benutzers.
    • uid: Benutzername.
    • gidNumber: Primäre GID-Nummer des Benutzers.
  • shadow
    • uid: Benutzername.
    • userPassword: Benutzer-Passwort.

Über UID/GID-Verschiebung

Um UID/GID-Konflikte zwischen LDAP-Benutzern/-Gruppen und lokalen Benutzern/Gruppen zu vermeiden, können Sie die UID/GID-Verschiebung aktivieren, um die UID/GID von LDAP-Benutzern/-Gruppen um 1000000 zu verschieben. Diese Option gilt nur für LDAP-Server, die keine LDAP-Server von Synology sind und ein eindeutiges numerisches ID-Attribute für jede(n) Benutzer/Gruppe besitzen.

Infos über die verschachtelte Gruppenerweiterung

In einer verschachtelten Gruppe gehört ein LDAP-Gruppenmitglied zu einer anderen LDAP-Gruppe, wodurch die Hierarchie einer Organisation dargestellt ist. Wenn Benutzer wissen möchten, zu welcher Gruppe ein bestimmtes Mitglied gehört, oder die Namensliste einer bestimmten Gruppe wissen möchten, erweitert die Synology NAS eine verschachtelte Gruppe gemäß dem Attribut member der LDAP-Gruppe, wobei der DN (eindeutige Name) einer untergeordneten Gruppe vom Attribut referenziert wird. Die Erweiterung einer verschachtelten Gruppe kann in bestimmten Fällen sehr zeitaufwändig sein, z. B. wenn der Server das Attribut member nicht indiziert oder die Gruppe stark verschachtelt ist. Sie können wählen, eine verschachtelte Gruppe unter solchen Umständen nicht zu erweitern.

Über Client-Zertifikate

Wir unterstützen die Verwendung von Client-Zertifikaten. Einige LDAP-Server, z. B. Google LDAP, verwenden Zertifikate für die Authentifizierung von Clients. Sie können das Client-Zertifikat hochladen, nachdem Sie ein Häkchen bei der Option Client-Zertifikat aktivieren gesetzt haben.

Anmerkung:

Diese Funktion wird ab DSM 6.2.2 unterstützt.